スマートコントラクトはブロックチェーン上で動作する自己実行コードであり、デプロイ後に変更することはできません。この不変性は最大の強みであると同時に最も危険な特性でもあります。バグがあっても修正パッチを適用できないためです。セキュリティ監査は資金損失前に脆弱性を発見するための主要メカニズムです。
一般的な脆弱性
リエントランシー攻撃 — 悪意のあるコントラクトが残高更新前に被害コントラクトを再帰的に呼び出します。2016年のThe DAOハック(6000万ドル損失)の原因です。
整数オーバーフロー/アンダーフロー — 算術演算がデータ型の範囲を超えます。Solidity 0.8+では組み込みチェックで解決済み。
価格オラクル操作 — 単一ソースのスポット価格を使うプロトコルはフラッシュローンで一時的に価格を操作される可能性があります。
アクセス制御の脆弱性 — 重要な関数に対する権限チェックの欠如や誤実装。
監査プロセス
専門的な監査には、セキュリティ専門家による手動分析、自動スキャン(Slither、MythX)、ビジネスロジックと経済的不変条件の分析が含まれます。主要な監査会社:Trail of Bits、OpenZeppelin、Certik、Halborn、Quantstamp。
監査の限界
監査はセキュリティを保証しません。監査済みプロトコルでも資金損失が発生しています:Euler Finance(1億9700万ドル)、Nomad Bridge(1億9000万ドル)、Wormhole(3億2000万ドル)。優良なプロトコルはBug BountyプログラムとフォーマルVerificationも活用しています。
実践的な結論
DeFiプロトコルと関わる前に、認定された監査会社による公開監査の有無、コードの最終更新日時、Bug Bountyプログラムの存在を確認してください。監査がないことは重大な警告サインです。
